Los Conjuntos de sitios web relacionados (RWS) son un mecanismo de plataforma web que ayuda a los navegadores a comprender las relaciones entre una colección de dominios. Esto permite que los navegadores tomen decisiones clave para habilitar ciertas funciones del sitio (como si se permite el acceso a las cookies de sitios cruzados) y presentar esta información a los usuarios.
Muchos sitios dependen de varios dominios para ofrecer una sola experiencia del usuario. Es posible que las organizaciones deseen mantener diferentes dominios de nivel superior para varios casos de uso, como dominios específicos de cada país o dominios de servicio para alojar imágenes o videos. Los Conjuntos de sitios web relacionados permiten que los sitios compartan datos entre dominios, con controles específicos.
¿Qué es un Conjunto de sitios web relacionados?
En términos generales, un conjunto de sitios web relacionados es una colección de dominios para los que hay un solo "conjunto principal" y, potencialmente, varios "conjuntos miembros".
En el siguiente ejemplo, primary enumera el dominio principal y associatedSites enumera los dominios que cumplen con los requisitos del subconjunto asociado.
{
"primary": "https://primary.com",
"associatedSites": ["https://associate1.com", "https://associate2.com", "https://associate3.com"]
}
Los conjuntos de sitios web relacionados se enumeran en un archivo JSON público alojado en GitHub. Esta es la fuente canónica de todos los conjuntos aprobados. Los navegadores consumen este archivo para determinar si los sitios pertenecen o no al mismo Conjunto de sitios web relacionados.
Solo las personas con control administrativo sobre un dominio pueden crear un conjunto con ese dominio. Los usuarios que envían contenido deben declarar la relación entre cada "miembro del conjunto" y su "elemento principal del conjunto". Los miembros del conjunto pueden incluir un rango de diferentes tipos de dominios y deben formar parte de un subconjunto basado en un caso de uso.
Si tu aplicación depende del acceso a cookies de sitios cruzados (también llamadas cookies de terceros) en sitios dentro del mismo conjunto de sitios web relacionados, puedes usar la API de Storage Access (SAA) y la API de requestStorageAccessFor para solicitar acceso a esas cookies. Según el subconjunto del que forma parte cada sitio, el navegador puede controlar la solicitud de manera diferente.
Para obtener más información sobre el proceso y los requisitos para enviar conjuntos, consulta los lineamientos para el envío. Los conjuntos enviados se someterán a varias verificaciones técnicas para validar los envíos.
Casos de uso de los Conjuntos de sitios web relacionados
Los conjuntos de sitios web relacionados son una buena opción para los casos en los que una organización necesita una forma de identidad compartida en diferentes sitios de nivel superior.
Estos son algunos de los casos de uso de los Conjuntos de sitios web relacionados:
- Personalización por país Aprovechar los sitios localizados y, al mismo tiempo, depender de la infraestructura compartida (por ejemplo, example.co.uk puede depender de un servicio alojado en example.ca).
- Integración del dominio de servicio. Aprovechar los dominios de servicio con los que los usuarios nunca interactúan directamente, pero que proporcionan servicios en los sitios de la misma organización (ejemplo-cdn.com).
- Separación del contenido del usuario. Acceder a datos en diferentes dominios que separan el contenido subido por los usuarios del resto del contenido del sitio por motivos de seguridad, a la vez que se permite que el dominio en zona de pruebas acceda a las cookies de autenticación (y otras). Si publicas contenido inactivo subido por los usuarios, también puedes alojarlo de forma segura en el mismo dominio siguiendo las prácticas recomendadas.
- Contenido autenticado incorporado. Admite contenido incorporado de todas las propiedades afiliadas (videos, documentos o recursos restringidos al usuario que accedió al sitio de nivel superior).
- Accede. Se admite el acceso en propiedades afiliadas. La API de FedCM también puede ser adecuada para algunos casos de uso.
- Analytics Implementar análisis y mediciones de los recorridos de los usuarios en las propiedades afiliadas para mejorar la calidad de los servicios
Detalles de la integración de los Conjuntos de sitios web relacionados
API de Storage Access
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
La API de Storage Access (SAA) proporciona una forma para que el contenido incorporado de origen cruzado acceda al almacenamiento al que normalmente solo tendría acceso en un contexto de origen propio.
Los recursos incorporados pueden usar métodos de SAA para verificar si tienen acceso al almacenamiento y para solicitar acceso al agente de usuario.
Cuando se bloquean las cookies de terceros, pero se habilitan los Conjuntos de sitios web relacionados (RWS), Chrome otorgará automáticamente el permiso en contextos intra-RWS y mostrará un mensaje al usuario en otros casos. (Un "contexto intra-RWS" es un contexto, como un iframe, cuyo sitio incorporado y sitio de nivel superior se encuentran en el mismo RWS).
Cómo verificar y solicitar acceso al almacenamiento
Para verificar si actualmente tienen acceso al almacenamiento, los sitios incorporados pueden usar el método Document.hasStorageAccess().
El método devuelve una promesa que se resuelve con un valor booleano que indica si el documento ya tiene acceso a sus cookies o no. La promesa también devuelve verdadero si el iframe tiene el mismo origen que el marco superior.
Para solicitar acceso a las cookies en un contexto de varios sitios, los sitios incorporados pueden usar Document.requestStorageAccess() (rSA).
La API de requestStorageAccess() está diseñada para llamarse desde un iframe.
Ese iframe debe haber recibido interacción del usuario recientemente (un gesto del usuario, que es obligatorio en todos los navegadores), pero Chrome también requiere que, en algún momento de los últimos 30 días, el usuario haya visitado el sitio propietario de ese iframe y haya interactuado con ese sitio específicamente, como un documento de nivel superior, no en un iframe.
requestStorageAccess() devuelve una promesa que se resuelve si se otorgó el acceso al almacenamiento. La promesa se rechaza, citando el motivo, si se denegó el acceso por algún motivo.
requestStorageAccessFor en Chrome
La API de Storage Access solo permite que los sitios incorporados soliciten acceso al almacenamiento desde elementos <iframe> que hayan recibido interacción del usuario.
Esto plantea desafíos para adoptar la API de Storage Access en sitios de nivel superior que usan imágenes o etiquetas de secuencia de comandos entre sitios que requieren cookies.
Para abordar este problema, Chrome implementó una forma para que los sitios de nivel superior soliciten acceso al almacenamiento en nombre de orígenes específicos con Document.requestStorageAccessFor() (rSAFor).
document.requestStorageAccessFor('https://target.site')
La API de requestStorageAccessFor() está diseñada para que la llame un documento de nivel superior. Ese documento también debe haber recibido interacción del usuario recientemente. Sin embargo, a diferencia de requestStorageAccess(), Chrome no verifica si hubo interacción en un documento de nivel superior en los últimos 30 días, ya que el usuario ya está en la página.
Verifica los permisos de acceso al almacenamiento
El acceso a algunas funciones del navegador, como la cámara o la ubicación geográfica, se basa en los permisos que otorga el usuario. La API de Permissions proporciona una forma de verificar el estado del permiso para acceder a una API, ya sea que se haya otorgado, rechazado o que requiera alguna forma de interacción del usuario, como hacer clic en un mensaje o interactuar con la página.
Puedes consultar el estado del permiso con navigator.permissions.query().
Para verificar el permiso de acceso al almacenamiento en el contexto actual, debes pasar la cadena 'storage-access':
navigator.permissions.query({name: 'storage-access'})
Para verificar el permiso de acceso al almacenamiento de un origen específico, debes pasar la cadena 'top-level-storage-access':
navigator.permissions.query({name: 'top-level-storage-access', requestedOrigin: 'https://target.site'})
Ten en cuenta que, para proteger la integridad del origen incorporado, esta verificación solo incluye los permisos que otorga el documento de nivel superior con document.requestStorageAccessFor.
Devolverá prompt o granted según si el permiso se puede otorgar automáticamente o si requiere un gesto del usuario.
Modelo por fotograma
Los permisos de rSA se aplican por frame. Los permisos de rSA y rSAFor se tratan como permisos independientes.
Cada nuevo frame deberá solicitar acceso al almacenamiento de forma individual, y se le otorgará acceso automáticamente. Solo la primera solicitud requiere un gesto del usuario. Las solicitudes posteriores que inicie el iframe, como la navegación o los subrecursos, no deberán esperar un gesto del usuario, ya que se otorgará para la sesión de navegación con la solicitud inicial.
Si actualizas, vuelves a cargar o recreas el iframe de alguna otra manera, deberás volver a solicitar acceso.
Requisitos de cookies
Las cookies deben especificar los atributos SameSite=None y Secure como rSA, ya que solo proporciona acceso a las cookies que ya están marcadas para su uso en contextos de sitios cruzados.
Las cookies con SameSite=Lax, SameSite=Strict o sin un atributo SameSite son solo para uso de origen y nunca se compartirán en un contexto entre sitios, independientemente de la rSA.
Seguridad
En el caso de rSAFor, las solicitudes de subrecursos requieren encabezados de uso compartido de recursos entre dominios (CORS) o el atributo crossorigin en los recursos, lo que garantiza la habilitación explícita.
Ejemplos de implementación
Solicita acceso al almacenamiento desde un iframe de origen cruzado incorporado
requestStorageAccess() en una incorporación en otro sitio.Cómo verificar si tienes acceso al almacenamiento
Para verificar si ya tienes acceso al almacenamiento, usa document.hasStorageAccess().
Si la promesa se resuelve como verdadera, puedes acceder al almacenamiento en el contexto de sitios cruzados. Si se resuelve como falso, debes solicitar acceso al almacenamiento.
document.hasStorageAccess().then((hasAccess) => {
if (hasAccess) {
// You can access storage in this context
} else {
// You have to request storage access
}
});
Solicita acceso al almacenamiento
Si necesitas solicitar acceso al almacenamiento, primero verifica el permiso de acceso al almacenamiento navigator.permissions.query({name: 'storage-access'}) para ver si requiere un gesto del usuario o si se puede otorgar automáticamente.
Si el permiso es granted, puedes llamar a document.requestStorageAccess() y debería funcionar sin un gesto del usuario.
Si el estado del permiso es prompt, debes iniciar la llamada a document.requestStorageAccess() después de un gesto del usuario, como un clic en un botón.
Ejemplo:
navigator.permissions.query({name: 'storage-access'}).then(res => {
if (res.state === 'granted') {
// Permission has already been granted
// You can request storage access without any user gesture
rSA();
} else if (res.state === 'prompt') {
// Requesting storage access requires user gesture
// For example, clicking a button
const btn = document.createElement("button");
btn.textContent = "Grant access";
btn.addEventListener('click', () => {
// Request storage access
rSA();
});
document.body.appendChild(btn);
}
});
function rSA() {
if ('requestStorageAccess' in document) {
document.requestStorageAccess().then(
(res) => {
// Use storage access
},
(err) => {
// Handle errors
}
);
}
}
Las solicitudes posteriores desde el iframe, las navegaciones o los recursos secundarios tendrán automáticamente permiso para acceder a las cookies entre sitios.
hasStorageAccess() devuelve verdadero, y las cookies entre sitios del mismo conjunto de sitios web relacionados se enviarán en esas solicitudes sin ninguna llamada adicional de JavaScript.
Sitios de nivel superior que solicitan acceso a las cookies en nombre de sitios de origen cruzado
requestStorageAccessFor() en un sitio de nivel superior para un origen diferenteLos sitios de nivel superior pueden usar requestStorageAccessFor() para solicitar acceso al almacenamiento en nombre de orígenes específicos.
hasStorageAccess() solo verifica si el sitio que lo llama tiene acceso al almacenamiento, por lo que un sitio de nivel superior puede verificar los permisos de otro origen.
Para descubrir si se le pedirá al usuario que otorgue acceso al almacenamiento o si ya se le otorgó acceso al almacenamiento al origen especificado, llama a navigator.permissions.query({name:
'top-level-storage-access', requestedOrigin: 'https://target.site'}).
Si el permiso es granted, puedes llamar a document.requestStorageAccessFor('https://target.site'). Debe tener éxito sin un gesto del usuario.
Si el permiso es prompt, deberás conectar la llamada document.requestStorageAccessFor('https://target.site') detrás del gesto del usuario, como un clic en un botón.
Ejemplo:
navigator.permissions.query({name:'top-level-storage-access',requestedOrigin: 'https://target.site'}).then(res => {
if (res.state === 'granted') {
// Permission has already been granted
// You can request storage access without any user gesture
rSAFor();
} else if (res.state === 'prompt') {
// Requesting storage access requires user gesture
// For example, clicking a button
const btn = document.createElement("button");
btn.textContent = "Grant access";
btn.addEventListener('click', () => {
// Request storage access
rSAFor();
});
document.body.appendChild(btn);
}
});
function rSAFor() {
if ('requestStorageAccessFor' in document) {
document.requestStorageAccessFor().then(
(res) => {
// Use storage access
},
(err) => {
// Handle errors
}
);
}
}
Después de una llamada requestStorageAccessFor() exitosa, las solicitudes de sitios cruzados incluirán cookies si incluyen CORS o el atributo crossorigin, por lo que es posible que los sitios quieran esperar antes de activar una solicitud.
Las solicitudes deben usar la opción credentials: 'include' y los recursos deben incluir el atributo crossorigin="use-credentials".
function checkCookie() {
fetch('https://related-website-sets.glitch.me/getcookies.json', {
method: 'GET',
credentials: 'include'
})
.then((response) => response.json())
.then((json) => {
// Do something
});
}
Cómo realizar pruebas locales
Requisitos previos
Para probar los conjuntos de sitios web relacionados de forma local, usa Chrome 119 o una versión posterior iniciada desde la línea de comandos y habilita la test-third-party-cookie-phaseout marca de Chrome.
Habilita la función experimental de Chrome
Para habilitar la marca de Chrome necesaria, ve a chrome://flags#test-third-party-cookie-phaseout desde la barra de direcciones y cambia la marca a Enabled. Asegúrate de reiniciar el navegador después de cambiar las marcas.
Inicia Chrome con un conjunto de sitios web relacionados local
Para iniciar Chrome con un conjunto de sitios web relacionados declarado de forma local, crea un objeto JSON que contenga las URLs que son miembros de un conjunto y pásalo a --use-related-website-set.
Obtén más información para ejecutar Chromium con marcas.
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}" \
https://related-website-sets.glitch.me/
Ejemplo
Para habilitar los conjuntos de sitios web relacionados de forma local, debes habilitar test-third-party-cookie-phaseout en chrome://flags y ejecutar Chrome desde la línea de comandos con la marca --use-related-website-set y el objeto JSON que contiene las URLs que son miembros de un conjunto.
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}" \
https://related-website-sets.glitch.me/
Verifica que tienes acceso a las cookies de sitios cruzados
Llama a las APIs (rSA o rSAFor) desde los sitios que se están probando y valida el acceso a las cookies de sitios cruzados.
Proceso de envío de Conjuntos de sitios web relacionados
Sigue estos pasos para declarar la relación entre los dominios y especificar a qué subconjunto pertenecen.
1. Identifica tu RWS
Identifica los dominios pertinentes, incluidos el conjunto principal y los miembros del conjunto que formarán parte del Conjunto de sitios web relacionados. También identifica a qué tipo de subconjunto pertenece cada miembro del conjunto.
2. Crea tu envío de RWS
Crea una copia local (clonación o bifurcación) del repositorio de GitHub. En una rama nueva, realiza los cambios en el archivo related_website_sets.JSON para que refleje tu conjunto. Para asegurarte de que tu conjunto tenga el formato y la estructura JSON correctos, puedes usar la herramienta JSON Generator.
3. Asegúrate de que tu RWS cumpla con los requisitos técnicos
Asegúrate de que se cumplan los requisitos de formación del conjunto y los requisitos de validación del conjunto.
4. Prueba tu RWS de forma local
Antes de crear una solicitud de extracción (PR) para enviar tu conjunto, prueba tu envío de forma local para asegurarte de que pase todas las verificaciones requeridas.
5. Envía tu RWS
Envía el conjunto de sitios web relacionados creando una PR para el archivo related_website_sets.JSON en el que Chrome aloja la lista canónica de conjuntos de sitios web relacionados. (Se requiere una cuenta de GitHub para crear PR, y deberás firmar un Contrato de Licencia para Colaboradores (CLA) antes de poder colaborar con la lista).
Una vez que se crea la solicitud de extracción, se completa una serie de verificaciones para garantizar que se cumplan los requisitos del paso 3, como asegurarse de que hayas firmado el CLA y de que el archivo .well-known sea válido.
Si se realiza correctamente, la solicitud de extracción indicará que se aprobaron las verificaciones. Las PR aprobadas se combinarán manualmente en lotes en la lista canónica de Conjuntos de sitios web relacionados una vez por semana (los martes a las 12 p.m., hora del Este). Si alguna de las verificaciones falla, se notificará al usuario que envió la solicitud a través de una falla de la solicitud de extracción en GitHub. El usuario que envía la solicitud puede corregir los errores y actualizar la PR. Ten en cuenta lo siguiente:
- Si la solicitud de extracción falla, un mensaje de error proporcionará información adicional sobre el motivo por el que se pudo haber rechazado el envío. (ejemplo).
- Todas las verificaciones técnicas que rigen los envíos de conjuntos se realizan en GitHub y, en consecuencia, todas las fallas de envío que resulten de las verificaciones técnicas se podrán ver en GitHub.
Políticas empresariales
Chrome tiene dos políticas vigentes para satisfacer las necesidades de los usuarios empresariales:
- Los sistemas que no puedan integrarse con los Conjuntos de sitios web relacionados pueden inhabilitar la función en todas las instancias empresariales de Chrome con la política
RelatedWebsiteSetsEnabled.- Algunos sistemas empresariales tienen sitios solo para uso interno (como una intranet) con dominios registrables que difieren de los dominios de su Conjunto de sitios web relacionados. Si necesitan tratar estos sitios como parte de su conjunto de sitios web relacionados sin exponerlos públicamente (ya que los dominios pueden ser confidenciales), pueden aumentar o anular su lista pública de conjuntos de sitios web relacionados con la política
RelatedWebsiteSetsOverrides.
- Algunos sistemas empresariales tienen sitios solo para uso interno (como una intranet) con dominios registrables que difieren de los dominios de su Conjunto de sitios web relacionados. Si necesitan tratar estos sitios como parte de su conjunto de sitios web relacionados sin exponerlos públicamente (ya que los dominios pueden ser confidenciales), pueden aumentar o anular su lista pública de conjuntos de sitios web relacionados con la política
Chrome resuelve cualquier intersección de los conjuntos públicos y empresariales de una de las siguientes dos maneras, según si se especifican replacements o additions.
Por ejemplo, para el conjunto público {primary: A, associated: [B, C]}, haz lo siguiente:
replacements set: |
{primary: C, associated: [D, E]} |
| El conjunto de la empresa absorbe el sitio común para formar un conjunto nuevo. | |
| Conjuntos resultantes: | {primary: A, associated: [B]}{primary: C, associated: [D, E]} |
additions set: |
{primary: C, associated: [D, E]} |
| Se combinan los conjuntos de datos públicos y empresariales. | |
| Conjunto resultante: | {primary: C, associated: [A, B, D, E]} |
Soluciona problemas relacionados con los Conjuntos de sitios web relacionados
"Instrucción del usuario" y "gesto del usuario"
Una "instrucción del usuario" y un "gesto del usuario" son diferentes. Chrome no mostrará un mensaje de permiso a los usuarios para los sitios que se encuentren en el mismo conjunto de sitios web relacionados, pero Chrome aún requiere que el usuario haya interactuado con la página. Antes de otorgar el permiso, Chrome requiere un gesto del usuario, también llamado "interacción del usuario" o "activación del usuario". Esto se debe a que el uso de la API de Storage Access fuera del contexto de un conjunto de sitios web relacionados (es decir, requestStorageAccess()) también requiere un gesto del usuario, debido a los principios de diseño de la plataforma web.
Acceder a las cookies o al almacenamiento de otros sitios
Los Conjuntos de sitios web relacionados no combinan el almacenamiento de diferentes sitios, sino que solo permiten llamadas requestStorageAccess() más sencillas (sin mensajes). Los Conjuntos de sitios web relacionados solo reducen la fricción del usuario al usar la API de Storage Access, pero no dictan qué hacer una vez que se restablece el acceso. Si A y B son sitios diferentes en el mismo Conjunto de sitios web relacionados, y A incorpora B, B puede llamar a requestStorageAccess() y obtener acceso al almacenamiento de origen sin solicitarle permiso al usuario. Los conjuntos de sitios web relacionados no realizan ninguna comunicación entre sitios. Por ejemplo, configurar un conjunto de sitios web relacionados no hará que las cookies que pertenecen a B comiencen a enviarse a A. Si quieres compartir esos datos, deberás hacerlo tú mismo, por ejemplo, enviando un window.postMessage desde un iframe de B a un iframe de A.
Acceso a cookies sin particionar de forma predeterminada
Los Conjuntos de sitios web relacionados no permiten el acceso implícito a cookies sin particionar sin invocar ninguna API. Las cookies entre sitios no están disponibles de forma predeterminada en el conjunto. Los Conjuntos de sitios web relacionados solo permiten que los sitios del conjunto omitir el mensaje de permiso de la API de Storage Access.
Un iframe debe llamar a document.requestStorageAccess() si quiere acceder a sus cookies, o bien la página de nivel superior puede llamar a document.requestStorageAccessFor().
Enviar comentarios
Enviar un conjunto en GitHub y trabajar con la API de Storage Access y la API de requestStorageAccessFor son oportunidades para compartir tu experiencia con el proceso y los problemas que encuentres.
Para participar en debates sobre los Conjuntos de sitios web relacionados, haz lo siguiente:
- Únete a la lista de distribución pública de Related Website Sets.
- Informa problemas y sigue la discusión en el repositorio de GitHub de Related Website Sets.